Documentos de Académico
Documentos de Profesional
Documentos de Cultura
www.isaca.org
Agenda
Introduccin
Gestin de riesgos
Marcos de referencia para la gestin de riesgos
Principios de la gestin de riesgos
ISO 31000 Gestin de Riesgos Principios y guas (DRAFT)
BS 31100 Gestin de Riesgos Cdigo de prctica
ISO 27005 Gestin de Riesgos de Seguridad de la Informacin
Risk IT Framework
Ejemplos
Opciones de tratamiento de riesgos
Conclusiones
Pag.2
www.isaca.org
Introduccin
Pag.3
www.isaca.org
Introduccin
En la actualidad, son cada vez ms las organizaciones
que dedican recursos de personal, tiempo y dinero para
la gestin de riesgos de TI, pero con tantos modelos,
metodologas y tcnicas disponibles:
www.isaca.org
Introduccin
Cules son los riesgos de los cuales me tengo que
proteger?
Cul es el nivel de riesgo que debo tomar para
maximizar mis ganancias?
Eso es un riesgo o es una amenaza?
El control lo aplico a la vulnerabilidad, a la amenaza
o a los dos?
Pag.5
www.isaca.org
Introduccin
Diferentes tipos de riesgos:
Riesgo de TI
Riesgo de Seguridad de la Informacin
Riesgo Operativo
Riesgo de Continuidad del Negocio
Riesgo de Proyecto
Riesgo Financiero
Riesgo de Auditora
Etc.
Pag.6
www.isaca.org
Introduccin
Nivel de granularidad:
Empresa A: Total de escenarios de riesgos: 50
Empresa B: Total de escenarios de riesgos: >5,000,000
Pag.7
www.isaca.org
Introduccin
Hay de escenarios a ESCENARIOS:
escenario:
www.isaca.org
Introduccin
Hay de escenarios a ESCENARIOS:
ESCENARIO:
www.isaca.org
Introduccin
Posible Contagio
Escenario:
Sismo
Estrategia:
Escenario:
Epidemia
Desalojo y
concentracin en
puntos de reunin
Estrategia:
Parte del personal
laborando desde casa
comunicndose
va Internet
y telfono
Pag.10
www.isaca.org
Estrategia:
Escenario:
Perdida de
comunicaciones
Escenario:
Saturacin de lneas
telefnicas
Interrupcin de la
continuidad del
negocio
10
10
Introduccin
El caso de mi amigo.
www.isaca.org
11
11
Introduccin
Pag.12
www.isaca.org
12
12
Introduccin
Pag.13
www.isaca.org
13
13
Introduccin
Cmo evitar que ocurran eventos no
deseados?
Y en caso de que ocurran
Cmo disminuir su impacto en la
organizacin?
Pag.14
www.isaca.org
14
14
Gestin de riesgos
Pag.15
www.isaca.org
15
15
Marcos de referencia
CRAMM
MAGERIT
TRA Working Guide
Microsoft SRMG
BS 7799-3
AIRMIC, ALARM, IRM
ARMS
UNE 71504
Pag.16
www.isaca.org
16
16
Marcos de referencia
CRAMM
MAGERIT
TRA Working Guide
Microsoft SRMG
BS 7799-3
AIRMIC, ALARM, IRM
ARMS
UNE 71504
Pag.17
www.isaca.org
17
17
Pag.18
www.isaca.org
18
18
www.isaca.org
19
19
www.isaca.org
20
20
Pag.21
www.isaca.org
21
21
Pag.22
www.isaca.org
22
22
Pag.23
www.isaca.org
23
23
Pag.24
www.isaca.org
24
24
Compromiso de la
gerencia
Implementar la
gestin de riesgos
Mejora continua
Monitorear y revisar
Pag.25
www.isaca.org
25
25
Compromiso de la
gerencia
Monitorear y revisar
Pag.26
www.isaca.org
26
26
Proceso
Establecer el contexto
Anlisis de riesgos
Evaluacin de riesgos
Monitoreo y revisin
Comunicacin y consulta
Identificacin riesgos
Tratamiento de riesgos
Pag.27
www.isaca.org
27
27
BS 31100
Publicado en Octubre 2008.
Propsito:
Provee las bases para el entendimiento, desarrollo,
implementacin y mantenimiento de la gestin de
riesgos.
Pag.28
www.isaca.org
28
28
BS 31100
Ha sido preparado para ser consistente con el ISO
31000 y tambin considera los siguientes documentos:
Pag.29
www.isaca.org
29
29
BS 31100
Componentes
Mandato y
compromiso
Diseo del
marco de
referencia
Mantenimiento
y mejora
Implementar la
gestin de
riesgos
Monitorear y
revisar
Pag.30
www.isaca.org
30
30
BS 31100
Proceso
Pag.31
www.isaca.org
31
31
ISO 27005
Publicado en Junio 2008.
Propsito:
Provee guas para la gestin de riesgos de seguridad de la
informacin.
Soporta los principales conceptos especificados en ISO/IEC 27001
y ha sido diseado para asistir en la implementacin satisfactoria de
seguridad de la informacin basada en un enfoque de gestin de
riesgos.
Pag.32
www.isaca.org
32
32
ISO 27005
Para un entendimiento completo de ste estndar, se
requiere el conocimiento de los conceptos, modelos,
procesos y terminologas descritas en ISO/IEC 27001.
Aplica a todo tipo de organizacin que intente gestionar
riesgos que pudieran comprometer la seguridad de la
informacin de la organizacin.
Pag.33
www.isaca.org
33
33
ISO 27005
ISO 31000
ISO
27005
ISO
27001
Otros
estndares y
prcticas de
gestin de
riesgos
Pag.34
www.isaca.org
34
34
Inicio
www.isaca.org
Pag.35
Evitar
Retener
Reducir
Aceptacin de riesgos
Transf.
Tratamiento de riesgos
Evaluacin de riesgos
Estimacin de riesgos
Identificacin riesgos
Proceso
Establecer el contexto
ISO 27005
Consecuencias
Controles
Vulnerabilidades
Activos Amenazas
Comunicacin de riesgos
35
35
Desarrollado por el IT
Governance Institute
Iniciativa de Risk IT
Complementa a COBIT y
Val IT
Pag.36
www.isaca.org
36
36
Pag.37
www.isaca.org
37
37
Pag.38
www.isaca.org
38
38
www.isaca.org
39
39
Ganar
Perder
Preservar
Pag.40
www.isaca.org
40
40
Pag.41
www.isaca.org
41
41
Pag.42
www.isaca.org
42
42
4A (Westerman / Hunter)
Agility - Agilidad
Accuracy - Precisin
Access - Acceso
Availability - Disponibilidad
Pag.43
www.isaca.org
43
43
www.isaca.org
44
44
Pag.45
www.isaca.org
45
45
Pag.46
www.isaca.org
46
46
Pag.47
www.isaca.org
47
47
Pag.48
www.isaca.org
48
48
Pag.49
www.isaca.org
49
49
Ejemplos
Pag.50
www.isaca.org
50
50
Ejemplo 1 - Identificacin
IDENTIFICADOR
RIESGO
Riesgo N
Pag.51
www.isaca.org
51
51
Ejemplo 1 - Identificacin
1. Fuego
2. Dao por agua
3. Contaminacin
4. Accidentes graves
5. Destruccin de equipo o medios
6. Terremoto /sismo /temblor
7. Deslave
8. Derrame qumico
9. Explosin
10. Incendio
11. Epidemia
12. Lluvias intensas
13. Tormenta de Granizo
14. Cicln tropical
15. Inundacin
16. Tormenta elctrica
17. Fallas en aire acondicionado
18. Fallas en provisin de agua
19. Fallas en equipos de
telecomunicacin
20. Fallas de energa elctrica
21. Intercepcin de informacin
22. Espionaje remoto
23. Espionaje
24. Robo de documentos
25. Robo de medios de informacin
www.isaca.org
52
52
Ejemplo 1 - Anlisis
Posibilidad de Ocurrencia
Casi cierto
Muy posible
Posible
Raro
Casi imposible
Valor
5
4
3
2
1
Impacto
Catastrfico
Mayor
Medio
Menor
Insignificante
Pag.53
www.isaca.org
Valor
5
4
3
2
1
53
53
Mayor
Catastrfico
Medio
Menor
2
Insignificante
Casi cierto
5
Muy posible
4
IMPACTO
Posible
3
Pag.54
www.isaca.org
Raro
Riesgo N
ID
1
2
3
4
5
1 Casi imposible
POSIBILIDAD
Ejemplo 1 - Anlisis
54
54
Ejemplo 1 - Evaluacin
ID RIESGO
R (P x I)
16
12
12
Riesgo N
Pag.55
www.isaca.org
55
55
Ejemplo 1 - Evaluacin
ID RIESGO
R (P x I)
Prioridad
16
12
12
N Riesgo N
Pag.56
www.isaca.org
56
56
Control de operaciones
5
Medio
1
2
5
3
Menor
4
1
Insignificante
IMPACTO
Mayor
Catastrfico
EMPRESA ABC
N
Casi Imposible
Raro
Posible
Pag.57
www.isaca.org
POSIBILIDAD
Muy Posible
Casi Cierto
57
57
Ejemplo 2 - Identificacin
RIESGO
Impactos
Eventos
Activo
Amenazas
Vulnerabilidades
Pag.58
www.isaca.org
58
58
Ejemplo 2 - Identificacin
ACTIVO
Pag.59
www.isaca.org
59
59
Ejemplo 2 - Identificacin
VULNERABILIDADES
Pag.60
www.isaca.org
60
60
Ejemplo 2 - Identificacin
AMENAZAS
AGENTE
Pag.61
www.isaca.org
61
61
Ejemplo 2 - Identificacin
AMENAZAS
EVENTO
Pag.62
www.isaca.org
62
62
Ejemplo 2 - Identificacin
IMPACTO
Pag.63
www.isaca.org
63
63
Ejemplo 2 - Identificacin
Ejemplos de activos:
Sistemas
Aplicaciones
Personas
Mobiliario
Equipos de cmputo
Instalaciones
Documentos
Registros
Manuales
Directorios
Servicios
Otros
Telfono
Fax
Pag.64
www.isaca.org
64
64
Ejemplo 2 - Identificacin
Gente / Entidades
Tecnologa de Informacin
Procesos
Sistemas / Aplicaciones
Plataformas / S.O.
Red / Comunicaciones
Fsica / Instalaciones
Pag.65
www.isaca.org
65
65
Ejemplo 2 - Identificacin
Identificar vulnerabilidades
Inherentes al activo.
Relacionadas con la falta, insuficiencia,
inefectividad o fallas de los controles sobre el
activo.
Pag.66
www.isaca.org
66
66
Ejemplo 2 - Identificacin
V=Se encuentra en un rea
que se puede inundar.
V=Inflamable.
A=Facturas
Pag.67
www.isaca.org
67
67
Ejemplo 2 - Identificacin
Identificar amenazas:
Naturales.
No intencionales.
Intencionales fsicas.
Intencionales no fsicas.
Pag.68
www.isaca.org
68
68
Ejemplo 2 - Identificacin
Ejemplos de amenazas:
Naturales: Terremotos, lluvia, inundaciones, incendios, ciclones,
tsunamis, deslaves, nevadas, temperaturas extremas, polvo, erupcin
volcnica, granizo, tornado, lluvia acida, plagas, etc.
No intencionales: Incendios, fugas, derrames, explosiones, apagones,
falla de equipos, ruido, etc.
Intencionales fsicas: Explosiones, incendios, robo, manifestaciones,
plantones, terrorismo, etc.
Intencionales no fsicas: Infeccin por virus, SPAM, hackeo, robo de
informacin, espionaje industrial, ingeniera social, fraude, etc.
Pag.69
www.isaca.org
69
69
Ejemplo 2 - Identificacin
El CENAPRED* (Mxico) clasifica las amenazas naturales en las
siguientes categoras:
Derrame
Fuga
Explosin
Fuego / Incendio
Sanitarias
Contaminacin
Desertificacin
Epidemias
Otras
Partculas de polvo
www.isaca.org
Hidrometeorolgicas
Qumicas
Geolgicas
Pag.70
Precipitacin pluvial
Tormenta de granizo
Tormenta de nieve
Heladas
Cicln tropical
Escurrimiento
Inundacin
Sequa
Erosin
Viento
Marea de tormenta
Temperatura extrema
Humedad extrema
Huracn / Tifn
Tormenta elctrica
Tormenta de arena
Tornado
Lluvia acida
70
70
Ejemplo 2 - Identificacin
Pag.71
www.isaca.org
71
71
Ejemplo 2 - Identificacin
V=Se encuentra en un rea
que se puede inundar.
V=Inflamable.
E=Inundacin
A=Fuego
E=Incendio
A=Facturas
V=Almacenamiento desprotegido.
V=Consumible.
E=Uso
Pag.72
www.isaca.org
A=Agua
E=Prdida
E=Robo
A=Empleado
A=Empleado
A=Visitantes
A=Personal
E=Dao
A=Personal
A=Impresora
72
72
Ejemplo 2 - Anlisis
Valor de activo
Vulnerabilidad
Severidad
Exposicin
Amenaza (Agente y Evento)
Motivacin
Capacidad
Impacto
Posibilidad de Ocurrencia
Pag.73
www.isaca.org
73
73
Severidad
Exposicin
Severidad
Exposicin
5
Pag.74
www.isaca.org
74
74
Capacidad
Motivacin
Capacidad
Motivacin
5
Pag.75
www.isaca.org
75
75
Descripcin
La brecha puede resultar en una prdida o dao serio, y los procesos del
negocio pueden verse afectados negativamente.
La brecha puede resultar en una prdida o dao serio, y los procesos del
negocio pueden fallar o interrumpirse.
Valor Impacto
3-5
Bajo (1)
6-10
Medio (2)
11-15
Alto (3)
Integridad
Disponibilidad
Pag.76
www.isaca.org
Confidencialidad
76
76
Ejemplo 2 - Anlisis
Proceso
Proceso 01
Proceso 28
Facturacin
Activo
SISTEMA X
RED
FACTURAS
Confidencialidad
5
4
4
Pag.77
www.isaca.org
Total1 Valor1
11
Alto
11
Alto
13
Alto
77
Valor2
3
3
3
77
Ejemplo 2 - Anlisis
Proceso
Proceso 01
Proceso 28
Facturacin
Activo
SISTEMA X
RED
FACTURAS
Anlisis de vulnerabilidades
Vulnerabilidades
Severidad
V1-EXPOSICIN A VIRUS Y CDIGO MALICIOSO
3
V57-SUSCEPTIBILIDAD A FALLAS
2
V10 - ALMACENAMIENTO DESPROTEGIDO
2
Pag.78
www.isaca.org
Exposicin
3
3
3
78
Valor3
5
4
4
78
Ejemplo 2 - Anlisis
Proceso
Proceso 01
Proceso 28
Facturacin
Activo
SISTEMA X
RED
FACTURAS
Agentes de amenaza
A1-VIRUS INFORMTICO
A53-DISPERSORES DE AGUA
A3-VISITANTES
Anlisis de amenazas
Eventos de amenaza
E1-INFECCIN POR VIRUS INFORMTICO
E34-FALLA EN COMPONENTE DE TECNOLOGA
E14 - ROBO
Pag.79
www.isaca.org
Capacidad
3
2
3
Motivacin
3
1
2
79
Valor4
5
2
4
79
Ejemplo 2 - Anlisis
Proceso
Proceso 01
Proceso 28
Facturacin
Activo
SISTEMA X
RED
FACTURAS
Posibilidad
3
1
3
Pag.80
www.isaca.org
80
80
Ejemplo 2 - Evaluacin
Pag.81
www.isaca.org
81
81
Ejemplo 2 - Evaluacin
UMBRALES DE
RIESGO
LIMITE INFERIOR
LMITE SUPERIOR
ALTO
751
1125
MEDIO
376
750
BAJO
375
Pag.82
www.isaca.org
82
82
Opciones de tratamiento
Fuente
Risk IT
Evitar
Mitigar
Aceptar
---
Compartir
ISO 27005
Evitar
Transferir
Reducir
Retener
---
BS 31100
Evitar
Transferir
Modificar
Retener
Buscar
Compartir
Cambiar la
naturaleza y
magnitud de
posibilidad
Retener por
decisin
Buscar una
oportunidad
Evitar
ISO 31000
Remover la
fuente del
riesgo
Cambiar las
consecuencias
Pag.83
www.isaca.org
83
83
Preguntas?
Pag.84
www.isaca.org
84
84
Gracias
Mario Urea Cuate
CISA, CISM, CGEIT, CISSP
Auditor Lder BS25999, ISO27001
mario.urena@secureit.com.mx
www.mariourenacuate.com
Pag.85
www.isaca.org
85
85
Bogot, Colombia
Marzo, 2010
Te esperamos!
www.isaca.org
86
86
Cancn,
Mxico
6 al 9 de Junio de 2010
Te esperamos!
www.isaca.org
87
87